アンチボット機能の設定手順

UTX100/UTX200でアンチボットの設定をするための手順になります。ボット検出時のログの内容や、例外設定の方法を解説します。

※ アンチボットとは、ボットに感染したコンピューターを検出し、感染コンピューターと C&C（指令）サーバーとの通信を遮断し、被害を予防する機能になります。
※ ボットとは、 侵入したコンピューターを遠隔操作する不正ソフトウェアです。ボットに感染した端末は、情報窃取や別のマルウェアに感染させられる、サーバーに対するDoS攻撃に利用される、などの被害に遭う可能性があります。

1. 接続先について
2. 基本設定
3. セキュリティーログの確認
4. 例外設定
5. サービスの登録
6. 例外設定後の通信確認
7. エンジン設定
8. 備考1：Confidence Levelと深刻度について
9. 備考2：「DNS query for a C&C site Detected」ログについて

(※) 操作手順はルーター/ブリッジモードで共通です

※ UTX100、UTX200で同じ手順になります。以下の説明では「UTX」と称します。
※ GUIの画面は、ファームウェアバージョンR80.20.15 (992001960) のキャプチャーになります。

1. 接続先について

本書では、接続先としてCheck Point社が提供するアンチボット用のテストページを利用します。テストページには次の手順でアクセス可能です。

1. Check Point ThreatWiki (https://threatwiki.checkpoint.com/threatwiki/public.htm) を開きます
2. ページ右上にある「Test Anti-Bot」をクリックします

   ※ UTX配下で接続するとアンチボットが動作して接続をブロックします。セキュリティーレポートの検知数にも反映されますので、実際に接続される際はご注意ください。
   ※ このテストページはHTTPSによる接続のため、 SSLインスペクションが無効の場合はページが開くことがあります。

   

2. 基本設定

アンチボットの基本設定は次のメニューで変更できます。

1. 左メニューから【脅威対策】 > 【脅威対策】 > 【ブレードコントロール】 とメニューを開きます
2. アンチボット機能の有効／無効を切り替えたい場合、「アンチボット」の左側にある【オン】または【オフ】をクリックします
3. 【適用】をクリックします
   
4. 保護機能の設定は、「ポリシー」に【カスタム】を選択すると変更できます

   保護機能のポリシーに対する初期設定値は下記の通りです。

   	厳格 (Strict)	推奨（工場出荷状態時）
   追跡オプション	ログ記録
   コンフィデンス - 高	ブロック
   コンフィデンス - 中	ブロック
   コンフィデンス - 低	検出
   深刻度	低以上	中以上
   パフォーマンスの影響	高-中	中-低

   

   ※ 「コンフィデンス」とは「Confidence Level」のことです。「Confidence Level」について詳しくは「8. 備考1：Confidence Levelと深刻度について」をご参照ください。
   ※ この設定はアンチウイルス機能とアンチボット機能の両方に影響します。

• 追跡オプション
  検知時のログが不要な場合、【なし】を選択することでログ出力を停止することができます。
• コンフィデンス - 高・中・低
  Confidence Level（コンフィデンスレベル） に応じた処理を変えることができます。
  例えば「コンフィデンス - 低」を【ブロック】に変更すると、より多くの脅威をブロックしますが、誤検知の可能性が高まります。
• 深刻度
  どの深刻度以上の脅威を検知させるか設定することができます。
  例えば「中以上」を【小以上】に変更すると、深刻度が【小】に分類される脅威を検知できるようになりますが、処理が増加する分パフォーマンスに影響を与えます。
• パフォーマンスの影響
  脅威検知の対象とパフォーマンスへの影響とのバランスを変えることができます。
  例えば【高-中】に変えるとより幅広い脅威検知を行いますが、パフォーマンスへの影響も高まります。

3. セキュリティーログの確認

1. 左メニューから【ログ＆モニタリング】 >【セキュリティログ】 とメニューを開きます
2. 検索欄に 「Anti-Bot」と入力すると、アンチボットのログのみを抽出できます
3. アクセス元 PC (192.168.100.23) からのログをダブルクリックし、詳細情報を確認します

   ブレード	アンチボット
   アクション	Block
   ソース	192.168.100.23
   宛先	25.33.52.127
   マルウェアアクション	Communication with C&C Site
   リソース	http://sc1.checkpoint.com/za/images/threatwiki/pages/TestAntiBotBlade.html

   

ログ詳細の各項目を解説します。

• ブレード
  検知したブレード（機能）を示します。このログではアンチボットブレードが検知したことを表しています。
• アクション
  UTXが実施したアクション（動作）を示します。このログではBlock（遮断）したことを表しています。
• ソース
  通信の発信元IPアドレスを示します。このログでは192.168.100.23から発信されたことを表しています。
• 宛先
  通信の宛先IPアドレスを示します。このログでは25.33.52.127へ通信していることを表しています。
• マルウェアアクション
  検知したマルウェアの動作内容を示します。このログでは「C&C サーバーとの通信」を表しています。
• リソース
  検知した通信の宛先 URL やファイル名を示します。
  このログでは「http://sc1.checkpoint.com/za/images/threatwiki/pages/TestAntiBotBlade.html」宛であることを表しています。

4. 例外設定

アンチボットブレードでは、「安全である」と判断したアクセスに対して許可する設定（例外設定）ができます。例外設定には以下の特徴があります。

• パターンファイルに依存しない
• 該当アクセスに対してチェックを行わないため、システムへの負荷がかからない

例外設定には以下の2つの方法があります。許可したい対象によって使い分けてください。

4-1. URLの例外登録

URLを例外として登録する方法です。特定のウェブサイトとの通信をまとめて許可したい場合に有効です。

1. 左メニューから【脅威対策】 > 【脅威対策】 >【例外】 とメニューを開きます
2. 「脅威対策の例外」メニューから【ホワイトリスト】をクリックします
3. 【URLホワイトリスト】をクリックします
   
4. 【新規】をクリックします
5. 「URLの追加」メニューが開くため、例外として登録したいドメインを入力します

   ※ 今回の例ではログの「リソース」欄の「http://sc1.checkpoint.com/za/images/threatwiki/pages/TestAntiBotBlade.html」から登録しています

6. 入力ができたら【適用】をクリックします
7. 【閉じる】をクリックしてメニューを閉じます
   

4-2. 例外対象のスコープを登録

マルウェア保護機能の例外となるスコープを登録する方法です。特定のサーバーやPCの通信を全て例外設定したい場合に有効です。

※ この方法で指定した端末に対してはアンチボット機能が全て無効となり、設定によってはアンチウイルス機能も無効になります。セキュリティーレベルが低下することを認識した上で利用してください。

1. 左メニューから【脅威対策】 > 【脅威対策】 >【例外】 とメニューを開きます
2. 「脅威対策の例外」から【新規】をクリックします
   
3. 「新しいマルウェアの例外の追加」が開くので【ソース】をクリックします
4. 【新規】から「ネットワークオブジェクト」をクリックします
   
5. タイプを「単一IP」、「IP範囲」、「ネットワーク」から選択します
6. 例外対象の IP アドレス、またはネットワークを入力し、【適用】をクリックします

   ※ 下図では「IP範囲」を例としています

   
7. 【宛先】をクリックして手順3〜5と同様の手順で設定することで、例外対象とする宛先を限定できます

   ※ ドメインで指定することはできません

8. 例外とする保護の対象を次の中から選択します

   任意の保護	アンチウイルス、アンチボット、IPSの検知が対象です
   すべてのアンチウイルス	アンチウイルスブレードの検知のみが対象です
   すべてのアンチボット	アンチボットブレードの検知のみが対象です
   任意のIPS	IPSブレードの検知のみが対象です

   
9. 例外とするプロトコルを限定する場合、【サービス】をクリックして指定します

   ※ 登録方法は「5. サービスの登録」を参照ください

10. アクションを【検出】に設定します
    
11. 【適用】をクリックします

5. サービスの登録

「サービス」には、あらかじめ HTTP や HTTPS といった主要なプロトコルが登録されています。手動でポート番号を指定したい場合、以下の方法で登録することが可能です。

1. 【ユーザ&オブジェクト】 > 【サービス】 とメニューを開きます
2. 【新規】をクリックします
3. アクセス先が利用するポート番号を登録します

   名前	任意（例：Camera_Login）
   タイプ	TCP
   プロトコルタイプ	なし
   ポート	任意（例：50443）
   コメント	任意

   ※ IP プロトコルで定義するものは 【タイプ】→【その他】 と指定します

4. 【適用】をクリックして登録します
   

6. 例外設定後の通信確認

1. 実際にアクセスを行い、接続が可能となったことを確認します
2. ログの内容が変わったことを確認します

   アクション	Detect（検出）
   処理の結果	exception（例外）

   

7. エンジン設定

「エンジン設定」を変更することで、スキャンする対象をより細かく設定することができます。

1. 【脅威対策】 > 【保護】 > 【エンジン設定】 とメニューを開きます
2. 変更を行いたい機能の設定項目を確認します
3. 変更が完了したら【適用】をクリックします
   

各機能の設定項目を以下で説明します。

1. ポリシー上書き
   基本設定からアクションを上書きできます
   • 不正なアクティビティ
     ボットネットやマルウェアの通信を検知した時
   • レピュテーションドメイン
     通信先ドメインが C&C サーバーと判定された時
   • レピュテーション IP
     通信先 IP が C&C サーバーと判定された時
   • レピュテーション URL
     通信先 URL が C&C サーバーと判定された時
   • 通常とは異なるアクティビティ
     ボットネットやマルウェアの動作を検知した時
2. 検出のみ
   検出のみを実施し、ブロックをさせない場合は有効にします
3. アンチボットユーザメッセージのカスタマイズ
   
   接続をブロックした時に表示されるメッセージのカスタマイズができます（日本語には対応していません）
   利用可能な変数は下記の通りです
   • $activity
     検出されたマルウェアアクティビティ
   • $original_url
     アクセスをブロックした URL
   • $incident_id
     インシデントのリファレンス ID
   • $mis_categorization_link
     ウェブサイト / アプリケーションのカテゴリ間違いの報告リンク

8. 備考1：Confidence Levelと深刻度について

アンチウイルスやアンチボットのログには「Confidence Level」と「深刻度」という項目があります。どちらも検知した脅威の程度を表す指標ですが、それぞれが持つ意味は異なります。

• 「Confidence Level」とは
  

  脅威判定の信頼性を次の3段階で表したものです。

  1. High (高)
  2. Middium (中)
  3. Low (低)
  このレベルが高い程、UTXによる脅威判定の確度が高いことを表します。上記の例は「High」、つまり「高」と分類されています。

• 「深刻度」とは
  

  脅威が持つリスクを次の5段階で表したものです。

  1. Very Low
  2. Low
  3. Medium
  4. High
  5. Critical

  この数字が大きいほどリスクも大きいことを表します。上記の例は 「Medium」、つまり「3」と分類されています。

9. 備考2：「DNS query for a C&C site Detected」ログについて

アンチボットを有効にしていると「DNS query for a C&C site Detected」というログが出る場合があります。これは検査対象の端末がC&Cサーバーのドメインを名前解決しようとした際に出力されるものです。
この時、UTXでは Detect（検出）のみを実施し、Block（遮断）はしませんが、実際のサーバーへの通信が発生した際には改めてアンチボット機能が検知するようになっています。